【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«1 2 3 456 7 8 »

5 / 70 页

跳转页

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-11-22 12:49 \| 短消息资料字号：小中大 41楼 O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll（文件名可能会变，以最后扫描的为准）这个C:\WINDOWS\SYSTEM32\stdup.dll到底是什么东西呢~~ 总会看到它，它会造成什么样的危害呢~~~ 另，{文件名可能会变，以最后扫描的为准} 这句话是什么意思呢？如果文件名变了，那要以什么为准来看呢~~~？再次请教了~~~
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-11-22 12:55 \| 短消息资料字号：小中大 42楼还有，，，为什么明明杀软已经可以杀此毒了，可是，每次都清除，却每次都会再出来，，，（其实，有时只是缓存里的病毒没有清除，，，为什么杀软总是会把那里给忽视了呢~~~？？？）
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2005-11-22 13:13 | 只看楼主 短消息资料

字号：小中大 43楼

引用:

【影子110的贴子】O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll（文件名可能会变，以最后扫描的为准）
这个C:\WINDOWS\SYSTEM32\stdup.dll到底是什么东西呢~~
总会看到它，它会造成什么样的危害呢~~~

这是一个广告/间谍程序。

引用:

【影子110的贴子】O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll（文件名可能会变，以最后扫描的为准）
这个C:\WINDOWS\SYSTEM32\stdup.dll到底是什么东西呢~~
另，{文件名可能会变，以最后扫描的为准} 这句话是什么意思呢？如果文件名变了，那要以什么为准来看呢~~~？

有些恶意代码文件每次启动会使用不同的文件名。

比较典型的是弹广告的AdWare.Look2Me广告程序的文件，其文件每次启动时会使用不同的文件名下载链接(HijackThis的LOG中的O20项)。

另一个例子是：
【整理+讨论】关于se.dll引起的Warning广告窗口的一种解决方法
http://forum.ikaka.com/topic.asp?board=67&artid=6083782

对于

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

来说，尽管文件名会变（如变为abc.dll），但它在HijackThis中报的项目是不变的。原来是HijackThis的LOG中O2组的，重新启动后还是在O2组，即扫描LOG中的：

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\abc.dll

在

【整理+讨论】关于se.dll引起的Warning广告窗口的一种解决方法
http://forum.ikaka.com/topic.asp?board=67&artid=6083782

的

O18 组中的 Filter: text/html和 Filter: text/plain
O2组中的包含O18 组中的 Filter: text/html和 Filter: text/plain 所指文件的BHO项

也是如此。

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2005-11-22 13:19 | 只看楼主 短消息资料

字号：小中大 44楼

引用:

【影子110的贴子】还有，，，为什么明明杀软已经可以杀此毒了，可是，每次都清除，却每次都会再出来，，，（其实，有时只是缓存里的病毒没有清除，，，为什么杀软总是会把那里给忽视了呢~~~？？？）
...........................

因为一些文件夹是受系统保护的。可参考：

【原创】电脑病毒清除不干净的原因
http://endurer.blogchina.com/1963463.html
（ttp://endurer.blogchina.com/1963463.html）

mingming1 初生襁褓狮帖子:32 注册: 2005-11-16 来自:	发表于： 2005-11-22 15:28 \| 短消息资料字号：小中大 45楼【回复“影子110”的帖子】照您的方法做了，但是‘以SYSTEM为文件名的DLL文件’删不掉，删掉后又出来，我该怎么办？？？谢谢！！！！前面的都照做，很管用。重起系统用杀软查毒，没有毒。
mingming1 初生襁褓狮帖子:32 注册: 2005-11-16 来自:

玩世逍遥初生襁褓狮帖子:1 注册: 2005-11-22 来自:	发表于： 2005-11-22 18:38 \| 短消息资料字号：小中大 46楼我也中了现在不知道那黑客是不是看着我怎么杀毒呢请教一下?这样算杀了吗? 2005-11-22 11:06:08 手工扫描:文件: D:\WINDOWS\G_Server.DLL，发现病毒Win-Trojan/GrayBird.866304，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:06:11 手工扫描:文件: D:\WINDOWS\G_ServerKey.DLL，发现病毒Win-Trojan/GrayBird.51200，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:06:13 手工扫描:文件: D:\WINDOWS\G_Server_HOOk.DLL，发现病毒Win-Trojan/GrayBird.102400.B，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:21:26 手工扫描:文件: D:\System Volume Information\_restore{8BC00BB2-0EAB-42E4-A3E5-CA7F35EA4C65}\RP459\A0499600.DLL，发现病毒Win-Trojan/GrayBird.866304，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:21:28 手工扫描:文件: D:\System Volume Information\_restore{8BC00BB2-0EAB-42E4-A3E5-CA7F35EA4C65}\RP459\A0499601.DLL，发现病毒Win-Trojan/GrayBird.51200，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:21:30 手工扫描:文件: D:\System Volume Information\_restore{8BC00BB2-0EAB-42E4-A3E5-CA7F35EA4C65}\RP459\A0499602.DLL，发现病毒Win-Trojan/GrayBird.102400.B，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:21:32 手工扫描:文件: D:\System Volume Information\_restore{8BC00BB2-0EAB-42E4-A3E5-CA7F35EA4C65}\RP459\A0499615.DLL，发现病毒Win-Trojan/GrayBird.866304，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:21:34 手工扫描:文件: D:\System Volume Information\_restore{8BC00BB2-0EAB-42E4-A3E5-CA7F35EA4C65}\RP459\A0499616.DLL，发现病毒Win-Trojan/GrayBird.51200，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 11:21:36 手工扫描:文件: D:\System Volume Information\_restore{8BC00BB2-0EAB-42E4-A3E5-CA7F35EA4C65}\RP459\A0499617.DLL，发现病毒Win-Trojan/GrayBird.102400.B，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 12:49:51 手工扫描:文件: D:\WINDOWS\G_Server_HOOk.DLL，发现病毒Win-Trojan/GrayBird.102400.B，处理方式: 已删除, 处理结果: 已删除． 2005-11-22 12:49:53 手工扫描:文件: D:\WINDOWS\G_ServerKey.DLL，发现病毒Win-Trojan/GrayBird.51200，处理方式: 已删除, 处理结果: 已删除．现在就是这个常跳出来
玩世逍遥初生襁褓狮帖子:1 注册: 2005-11-22 来自:

念珠豆初生襁褓狮帖子:2 注册: 2005-09-26 来自:	发表于： 2005-11-22 20:10 \| 短消息资料字号：小中大 47楼瑞星真不错，9月份看见有网友说灰鸽子无法查杀，现在已经有专杀灰鸽子的软件下载了，很细致的服务
念珠豆初生襁褓狮帖子:2 注册: 2005-09-26 来自:

叱咤花甲狮

帖子:4210
注册: 2005-04-10
来自:怀黯

发表于： 2005-11-23 00:11 | 短消息资料

字号：小中大 48楼

引用:

【玩世逍遥的贴子】我也中了现在不知道那黑客是不是看着我怎么杀毒呢

请教一下?这样算杀了吗?

现在就是这个常跳出来
...........................

图看不到~~
重启后再杀还能再杀到吗~~？

eveliang 初生襁褓狮帖子:149 注册: 2005-11-23 来自:	发表于： 2005-11-23 11:39 \| 短消息资料字号：小中大 49楼帮帮我啊，我的电脑是不是中了灰鸽子？这是我的扫描日志，先谢谢各位大侠 HijackThis_zww汉化版扫描日志 V1.99.1 保存于 11:34:13, 日期 2005-11-23 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\WINDOWS\Explorer.EXE E:\PROGRAM FILES\RISING\RAV\RavStub.exe c:\program files\rising\rfw\rfwsrv.exe C:\WINDOWS\system32\spoolsv.exe c:\program files\rising\rfw\RfwMain.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\VTtrayp.exe C:\WINDOWS\system32\VTTimer.exe C:\Program Files\CNNIC\Cdn\cdnup.exe E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE E:\PROGRA~1\RISING\RAV\RAVMON.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE C:\WINDOWS\system32\conime.exe E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINDOWS\system32\svchost.exe E:\PROGRA~1\RISING\RAV\Rav.exe C:\Program Files\ChinaNet\VnetClient.exe C:\Program Files\Maxthon\Maxthon.exe C:\DOCUME~1\Twims\LOCALS~1\Temp\Rar$EX00.969\HijackThis1991zww.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - C:\PROGRA~1\KuGoo2\KUGOO3~1.OCX O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE O4 - 启动项HKLM\\Run: [VTTrayp] VTtrayp.exe O4 - 启动项HKLM\\Run: [VTTimer] VTTimer.exe O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe O4 - 启动项HKLM\\Run: [RavTimer] E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] E:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [NbFloatBar] C:\NetBar\NbStart.exe O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -startup O4 - 启动项HKLM\\RunOnce: [RavStub] "E:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 580" /O6 "USB001" /M "Stylus COLOR 580" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - C:\Program Files\KuGoo2\KuGoo3DownX.htm O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm O9 - 浏览器额外的按钮: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll O9 - 浏览器额外的“工具”菜单项: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll O11 - Options group: [CDNCLIENT] 中文上网 O17 - HKLM\System\CCS\Services\Tcpip\..\{83F88AD3-E22D-4347-A60C-BB46B2299E50}: NameServer = 202.96.128.166 202.96.128.86 O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
eveliang 初生襁褓狮帖子:149 注册: 2005-11-23 来自:

naming 初生襁褓狮帖子:12 注册: 2005-11-23 来自:	发表于： 2005-11-23 13:01 \| 短消息资料字号：小中大 50楼是不是说有了HijackThis_zww汉化版，那瑞星不是没用了。是不是可以把他给卸了．．
naming 初生襁褓狮帖子:12 注册: 2005-11-23 来自:

<<上一主题|下一主题>>

«1 2 3 456 7 8 »

5 / 70 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】手工查杀灰鸽子Backdoor.GPigeon等病毒(第3版)